进入2017年,不知不觉,已经被短信炸了四次。如何做好项目的放短信轰炸,这是一个宜早不宜迟的问题。
1.短信轰炸的漏洞主要在于免登陆的短信发送请求接口,比如登录的短信验证码,注册的短信验证码,忘记密码的短信验证码等。
2.短信轰炸的手段,可以自动生成手机号,自动变换IP,轮询轰炸,由于手机号成万上亿,所以宜从IP预防。
3.预防短信轰炸,可以加入图片验证码,加入IP黑名单机制。
事实证明,黑名单的机制并不是很有效,当攻击者采用代理和大量肉鸡攻击的时候,黑名单机制形同虚设。
所以两者一起使用是比较好的选择。
图形验证码的要求:
1.过期时间:请求一次发送接口即过期,输入错误即过期
短信发送接口的要求:
1.请求即销毁图片,2.判断图片验证码是否一致,
使用图形验证码势必会对用户体验照成影响,这个尚未有好的解决办法。